VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint | ScanNetSecurity
2021.10.21(木)

VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint

Proofpoint が、これまで積極的に無視されてきた最もネガティブな側面にわざわざ名前をつけて光をあてた。VAP などという対策が難しく正否が鮮明に表れる領域に、自ら歩を進めた Proofpoint には一体どんな勝算があるのか。

研修・セミナー・カンファレンス セミナー・イベント
日本プルーフポイント株式会社 シニア エバンジェリスト 増田 幸美 氏
日本プルーフポイント株式会社 シニア エバンジェリスト 増田 幸美 氏 全 1 枚 拡大写真
 これだけたくさんセキュリティ製品が存在するにも関わらず、ぽっかりと穴が空いたように開拓途上の領域が存在する。内部脅威対策もそのひとつだ。

 某通信会社の退職者が営業秘密を持ち出して訴訟になるなど、一度起こると被害規模が大きく、とかく世間の耳目を集める内部脅威だが、長らく決定的な対策方法は存在しないと考えられてきた。

 近年、それなりの自信と総合力があるところ以外は「ランサムウェア対策」を謳うことが減ったが、内部脅威もそれに似ている。「防げるというから買ったのに防げなかったじゃないか」と、顧客に怒られる可能性があるのだ。

 そんな、うっかり足を踏み入れると怪我をしかねない内部脅威対策領域で国際的にリーダーとみなされる米 Proofpoint社の日本法人、日本プルーフポイント株式会社の講演が、9 月 29 日(水)に大阪で、10 月 8 日(金)に東京で行われる。内部対策は企業側にとっても取り扱いが慎重にならざるを得ないテーマだ。まず何から手をつければいいか、ヒントを探すのにピッタリの講演だ。

Security Days Fall 2021 大阪
9 月 29 日(水)午後 15:15~15:55
内部からの情報漏えいはサイバー攻撃の約10倍 ユーザーの何気ない動作が、企業と日本の未来を左右する

Security Days Fall 2021 東京
10 月 8 日(金)午後 12:15~12:55
DX時代の敵の戦術 -大規模ランサムウェア、サプライチェーン攻撃、内部脅威

 Security Days Fall 2021 で行われる大阪と東京の講演に登壇する、日本プルーフポイント株式会社 シニア エバンジェリスト 増田 幸美(そうた ゆきみ)氏によれば、2020 年に日本で発生し検知された営業秘密漏えいの、実に 87.6 %が内部脅威に起因していたという(独立行政法人情報処理推進機構が公表した調査結果を同社が再集計した結果による)。なお、外部からのサイバー攻撃等による漏えいは、8.0 %と内部脅威の 10 分の 1 以下だ。

 増田氏は講演で、Proofpoint が定義する内部脅威を、大きく 6 つの類型に分けて解説する。先に挙げた「退職に伴う漏えい」などはすぐに思い浮かぶかもしれないが、専門企業による 6 つの内部脅威の分類を、改めてここで整理して知っておくのは、先々の管理の参考情報となるだろう。

 増田氏の講演では、関連するさまざまな脅威やサイバー攻撃事例も解説される。なかでもとりわけ戦慄させられるのは、一般の従業員に向けて内部犯行を積極的に呼びかけた、ランサムウェアギャング団の例だ。とあるランサムウェアの広報サイトに、カタギの従業員に向け、以下の一文ではじまるメッセージが掲載された。

「数億円、欲しいですよね? 我々は様々な企業のネットワークへのアクセス権や、企業の貴重なデータを盗むのに有用なインサイダー情報を絶賛募集しています。たとえば、RDP、VPN、企業の電子メールへのログインとパスワードなど、企業へアクセスするためのアカウント情報を、あなたなら提供することができます」(註:英語の原文を編集部が意訳)

 その後には「メールで我々がランサムウェアを送るので、暗号化したいファイルのある PC でそれを開くように」と「勧誘文」が続く。

 こんなメッセージにやすやすと教唆される馬鹿者はまずいないだろう。だが、アルバイト店員等による(悪質ではあるものの)ただの悪ふざけを「バイトテロ」などと呼び、発生のたびに対応に四苦八苦している日本企業にとって、従来の内部脅威・内部犯行対策の考え方を根本から変えざるをえないような嫌な兆しではある。

 Proofpoint が行う内部脅威対策の最大の特長のひとつは「VAP」というユーザープロファイルを定義したことだ。攻撃されやすい、あるいは不正を働く可能性の高い人物(VAP:Very Attacked People)を、スコアリングを行って抽出し、その人物に「VIP待遇」ならぬ「VAP待遇」を与え、重点的対策を実施、事故や犯行発生を未然に防ぐ

 ここで、よくある「メール訓練」の成果グラフを思い出して欲しい。時間の経過が横軸に、メール訓練と知らずうっかりクリックしてしまった数を縦軸に設定した棒グラフによれば、ひっかかる人数は訓練を重ねるごとにどんどん減ってはいくものの、ゼロになることは決してなかった。あの「何回やってもひっかかるうっかりさん」が「VAP」の中に含まれる。

 こうした層は昔から存在したし、メール訓練提供事業者も認識はしていた。だが、そこに焦点を当てても事業者側はトクがない。またそれは、メール訓練を発注する総務や情シスにとっても同じである。プライバシーマーク更新のための単なるアリバイとして、研修やメール訓練を行うケースも少なくない。

 この、決してゼロにはならない棒グラフは、セキュリティ企業とユーザー企業によって「リスクの存在を認知しているにも関わらず戦略的かつ積極的に無視されてきた領域」だった。Proofpoint が現れるまで。

 Proofpoint が、これまで積極的に無視されてきた最もネガティブな側面にわざわざ名前をつけて光をあてた。VAP などという対策が難しく正否が鮮明に表れる領域に、自ら歩を進めた Proofpoint には一体どんな勝算があるのか。そもそも Proofpoint はどのように VAP を定義するのか、そのロジックを聞くだけでも、運用の新しいヒントが得られることは間違いないだろう。

--
 最後にもうひとつ、登壇者の増田(そうた)氏の個性的な講演スタイルについて言及しておきたい。犯罪者の視点で深く実態に迫ること、そして驚くほどバイネームであること、それが同氏の講演の特徴である。

 この手の講演では「海外小売業A社」といった、配慮の上でのイニシャルトークが展開されることも少なくないが、増田氏の今回の講演の準備途中のスライドの一部を取材中に目にした範囲では、たとえばランサムウェアの被害事例として、計 22 社(日本13社、海外9社)の被害企業の会社名とランサムウェア種名がセットで記載されていた。その他、ロシア系ランサムウェアギャングが守る「祖国のための鉄の掟」について説明した、とある関数に関するスライドも目が離せなかった。

 資料価値の高いこれら増田氏のスライドを目にするだけでも充分に講演を聞く価値がある。

●Security Days Fall 2021 大阪
9 月 29 日(水)午後 15:15~15:55
内部からの情報漏えいはサイバー攻撃の約10倍 ユーザーの何気ない動作が、企業と日本の未来を左右する

●Security Days Fall 2021 東京
10 月 8 日(金)午後 12:15~12:55
DX時代の敵の戦術 -大規模ランサムウェア、サプライチェーン攻撃、内部脅威

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄

    非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄

  2. 日立グループが2021年12月にPPAP廃止、12/13以降送受信不可

    日立グループが2021年12月にPPAP廃止、12/13以降送受信不可

  3. モンハンよりも面白い? 攻撃者目線を学ぶ「イエラエアカデミー」

    モンハンよりも面白い? 攻撃者目線を学ぶ「イエラエアカデミー」PR

  4. 富士病院に不正アクセス、システム障害発生に伴い診療制限を実施

    富士病院に不正アクセス、システム障害発生に伴い診療制限を実施

  5. 漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

    漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

  6. GSXが中堅企業へ提供するセキュリティアセスメントサービスが教える「日本人がとても知りたいこと」

    GSXが中堅企業へ提供するセキュリティアセスメントサービスが教える「日本人がとても知りたいこと」PR

  7. NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出

    NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出

  8. NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介

    NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介

  9. オリンパス、EMEA地域に続き今度は米州で不正アクセス被害

    オリンパス、EMEA地域に続き今度は米州で不正アクセス被害

  10. 教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘

    教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘

ランキングをもっと見る